我正在实现 response_mode=form_post,我想知道这种模式可能的 response_types 是什么。
我在某些地方读到它支持 response_type=code, response_type=id_token。(仅限登录情况)。当 access_token 返回时,类型为 id_token token ,我们可以使用 form_post 吗?
问问题
674 次
2 回答
1
response_mode 控制令牌如何传递给客户端,如果您使用 response_mode=form_post 那么它是通过身份提供者生成的自动提交的表单发布来完成的。如果您不提供,您将通过查询字符串获取令牌。我所知道的没有更多的替代方案。
基本上,response_mode 定义了令牌(ID/访问/刷新)如何传递给您的客户端。
根据这里的规范:
它说:
本规范定义了表单后响应模式,用它的 response_mode 参数值来描述:
在这种模式下,授权响应参数被编码为 HTML 表单值,在用户代理中自动提交,因此通过 HTTP POST 方法传输到客户端,结果参数使用 application/x 编码在正文中-www-form-urlencoded 格式。表单的动作属性必须是客户端的重定向 URI。表单属性的方法必须是 POST。因为授权响应只打算使用一次,授权服务器必须指示用户代理(和任何中介)不要存储或重用响应的内容。
用户代理支持的任何技术都可以用于提交表单,并且可以包括支持此操作所需的任何表单内容,例如提交控件和客户端脚本命令。但是,客户端必须能够处理消息,而无需考虑启动表单提交的机制。
https://openid.net/specs/oauth-v2-form-post-response-mode-1_0.html
于 2021-03-09T08:04:10.697 回答
0
您可以将任何响应类型与form_post响应模式一起使用。规范定义了应与给定响应类型一起使用的默认响应模式,但规范form_post并不将其仅用于某些response_type情况。
尽管如此,这对您的实施应该没有任何影响。您应该只获取授权服务器返回的表单并提交它,就像您提交页面上的任何其他 HTML 表单一样。因此,表单中的内容对您来说并不重要,并且操作 URL 无论如何都应该在表单中。
于 2021-03-09T14:02:57.003 回答